安全审计需要体系化的审计模型
4 安全审计需要体系化的审计模型
随着对审计的日益重视,客户部署了越来越多的单一型安全审计产品。现在,客户已经认识到,要在企业和组织中实现有效的安全审计,依靠某一类安全审计产品往往是不够的。这些审计系统从各自的角度对特定的信息对象进行审计,虽然专业,但是却增加了运维和审计人员的工作量,同时审计系统之间缺乏必要的信息交换。客户需要建立一个安全审计的体系,以及一套体系化的安全审计平台。通过前面安全审计产品选型过程的分析,也可以看出来,每种审计技术和产品都有其适用性,有利有弊,需要根据安全目标进行综合考量。为此,客户需要一个统一安全审计的架构和模型。
统一安全审计架构应该是一个点面结合的综合审计模型。面是指统一审计平台和日志审计,是统一安全审计的基础和基本组成,包括用户的统一操作界面。需要强调的是,日志审计由于其普适性而成为统一安全审计的基础平台的一部分。
点作为面的补充,针对更高安全审计要求的安全域进行有针对性的审计,成为专项审计,并且要无缝的融入到面之中。 典型的点审计(专项审计)有:
(1) 针对业务系统安全域的增强性审计:主机和服务器审计、数据库审计、应用和业务审计;
(2) 针对网络区域的增强性审计:网络审计、设备审计;
(3) 针对办公区域用户上网行为的审计;
(4) 针对终端区域操作的审计;
在这个审计模型中,日志审计是核心。统一安全审计模型如下图所示:
图:统一安全审计模型
在运用统一安全审计模型的时候,客户首先搭建起一个可扩展的安全审计基础平台,并建立起日志审计体系及其审计用户界面。此时,审计的功能和目标不必太多,重点放在对最广泛的IT资源采集日志,进行基础性审计之上。由于日志审计能力所限,对于一些重要的安全区域需要采用增强的专项审计机制,例如对网络区域的审计、对办公区域的审计、对业务核心系统区域的审计,等等。每类专项审计都采用具有专门技术的审计产品,例如基于本机代理的终端安全审计产品,基于网络协议分析的数据库审计产品和用户上网行为审计产品,等等。每类专项审计产品都必须实现统一安全审计基础平台的互联。最基本的互联就是各个专项审计产品能够将他们的审计结果以告警或者日志的形式发送给审计基础平台,由基础审计平台上的日志审计模块通过关联分析和告警给客户进行统一的展示,并通过基础平台向各个专项审计产品下发控制指令,由各个专项审计产品执行控制指令,阻断或者抑制违规行为。
网友评论